Upload
hatram
View
410
Download
2
Embed Size (px)
Citation preview
1
MINIT MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS)
MS ISO/IEC 27001:2013 KALI KEENAM
TARIKH : 28 SEPTEMBER 2017 (KHAMIS)
MASA : 9.00 PAGI
TEMPAT : BILIK WACANA PUTRA 3, ARAS 2, BANGUNAN
PEJABAT TNCPI, UNIVERSITI PUTRA MALAYSIA
KEHADIRAN : LAMPIRAN A
MINIT AGENDA TINDAKAN/ MAKLUMAN
6.1
ALUAN PENGERUSI Pengerusi: 6.1.1 mengalu-alukan kehadiran penasihat dan ahli jawatankuasa
kerja serta wakil ke Mesyuarat Jawatankuasa Kerja Sistem Pengurusan Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 Kali Keenam;
6.1.2 memaklumkan tujuan mesyuarat kali ini adalah untuk membincangkan mengenai beberapa perkara berbangkit hasil penemuan Audit Dalaman dan Mesyuarat Kajian Semula Pengurusan ISMS tahun 2017; dan
6.1.3 merakamkan ucapan tahniah kepada pihak UPM Kampus Bintulu (UPMKB) atas kelancaran proses audit pada 6 September 2017 sehingga pihak Juruaudit SIRIM mengesyorkan untuk proses perluasan entiti ISMS ke UPMKB bagi skop Pendaftaran Pelajar Baharu Prasiswazah pada tahun 2017.
Makluman Makluman Makluman
6.2
PENGESAHAN MINIT MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013 KALI KEEMPAT DAN MINIT MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
2
MINIT AGENDA TINDAKAN/ MAKLUMAN
KALI KELIMA (KHAS) Minit Mesyuarat Jawatankuasa Kerja Sistem Pengurusan Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 Kali Keempat yang diadakan pada 3 Mei 2017 dan Minit Mesyuarat Jawatankuasa Kerja Sistem Pengurusan Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 Kali Kelima (Khas) yang diadakan pada 29 Mei 2017 disahkan tanpa sebarang pindaan.
Makluman
6.3
PERKARA BERBANGKIT 6.3.1 Mesyuarat meneliti perkara-perkara berbangkit hasil
Mesyuarat Jawatankuasa Kerja Sistem Pengurusan Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 Kali Keempat dan Mesyuarat Jawatankuasa Kerja Sistem Pengurusan Keselamatan Maklumat Kali Kelima (Khas) adalah seperti pada Lampiran B.
6.3.2 Mesyuarat mengambil maklum kesemua perkara yang
memerlukan tindakan telah dilaksanakan oleh peneraju yang terlibat.
Makluman
Makluman
6.4
LAPORAN PENCAPAIAN OBJEKTIF KESELAMATAN MAKLUMAT SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013 Mesyuarat: 6.4.1 mengambil maklum Laporan Pencapaian Objektif
Keselamatan Maklumat tahun 2017 adalah seperti mana
perincian di Lampiran C.
6.4.2 mengambil maklum bahawa perubahan terhadap objektif
keselamatan maklumat daripada lima (5) objektif kepada
empat (4) objektif telah mula dipantau dan diukur
keberkesanannya bermula pada 26 Mei 2017.
6.4.3 meneliti dan bersetuju supaya penyataan bagi dua (2)
daripada empat (4) objektif keselamatan maklumat tahun
2017 dipinda dengan menyusun semula perkataan (reword)
supaya lebih jelas menggambarkan pengukuran yang
dikehendaki tanpa memberi kesan terhadap pengukuran
yang telah dibuat. Objektif keselamatan maklumat yang
terlibat adalah seperti berikut:
Makluman
Makluman
Sekretariat Pusat Jaminan Kualiti
3
MINIT AGENDA TINDAKAN/ MAKLUMAN
Bil Penyataan Objektif
Asal
Penyataan Objektif
Baharu
1. Memastikan pelajar
prasiswazah yang
mendaftar
mengemukakan
tawaran yang sah
Memastikan pelajar
prasiswazah yang
mengemukakan
tawaran yang sah
dibenarkan mendaftar
2. Meningkatkan
pembayaran yuran
pengajian secara atas
talian
Memastikan
pembayaran yuran
pengajian adalah
secara atas talian
6.4.4 bersetuju meluluskan kesemua pencapaian Objektif
Keselamatan Maklumat Sistem Pengrusan Keselamatan
Maklumat (ISMS) MS ISO/IEC 27001:2013 tahun 2017. Bagi
tujuan penambahbaikan, mesyuarat mencadangkan
beberapa tindakan susulan dibuat oleh peneraju ISMS yang
terlibat seperti berikut:
(a) menyediakan laporan terperinci untuk proses simulasi
DRP Sistem SMP yang dijalankan pada 12 Mei 2017;
(b) menyediakan senarai semak untuk pengukuran proses
Service Level Agreement (SLA) 95.0 Sokongan ICT Pusat
Data terhadap proses pendaftaran pelajar bebas
daripada gangguan; dan
(c) mencadangkan mesyuarat post-mortem dibuat terhadap
pelaksanaan proses pendaftaran pelajar baharu
prasiswazah sesi 2017/2018.
Sekretariat Pusat Jaminan Kualiti Peneraju Pusat Data
Peneraju Pusat Data Peneraju Pendaftaran Pelajar Baharu Prasiswazah
4
MINIT AGENDA TINDAKAN/ MAKLUMAN
6.5
LAPORAN DOKUMENTASI SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013 Mesyuarat: 6.5.1 mengambil maklum laporan cadangan pindaan dokumen
Sistem Pengurusan Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 iaitu bagi Statement of Applicability (SoA) adalah sepertimana pada Lampiran D.
6.5.2 mengambil maklum secara keseluruhan, perubahan terhadap SoA adalah berdasarkan kepada keperluan berikut, iaitu: (a) penemuan Audit Dalaman ISMS tahun 2017;
(b) perubahan kod dokumen;
(c) perubahan terhadap Akta/Peliling yang dirujuk; dan
(d) pembetulan terhadap kaedah kawalan (current control).
6.5.3 meneliti dan bersetuju meluluskan cadangan pindaan dokumen SoA yang dikemukakan dan akan dikuatkuasakan pada tarikh 13 Oktober 2017.
6.5.4 meminta supaya semua peneraju mengambil perhatian dan tindakan terhadap kawalan yang dinyatakan dalam SoA yang perlu dilaksanakan oleh setiap peneraju ISMS. Dokumen SoA terkini boleh dirujuk melalui Portal e-ISO UPM.
6.5.5 mengambil maklum bahawa aktiviti pendaftaran pelajar baharu prasiswazah berada di bawah bidang kuasa Timbalan Naib Canselor (Hal Ehwal Pelajar dan Alumni) manakala aktiviti berkaitan akademik berada di bawah bidang kuasa Timbalan Naib Canselor (Akademik dan Antarabangsa).
Makluman
Makluman
Sekretariat
Pusat
Jaminan
Kualiti/
Timbalan
Pegawai
Kawalan
Dokumen
(TPKD) IDEC
Semua
Peneraju
ISMS
Makluman
5
MINIT AGENDA TINDAKAN/ MAKLUMAN
6.6
LAPORAN PENILAIAN RISIKO (RA) DAN PELAN PEMULIHAN RISIKO (RTP) SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
Mesyuarat:
6.6.1 mengambil maklum Laporan Penilaian Risiko dan Pelan Pemulihan Risiko Sistem Pengurusan Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 mengambilkira perluasan skop penilaian pengajaran dan pengurusan harta intelek adalah sepertimana di Lampiran E.
6.6.2 mengambil maklum terdapat sebanyak 938 aset telah dinilai
dengan jumlah ancaman sebanyak 1472. Hasil penilaian mendapati 23 aset berisiko tinggi, 399 aset berisiko sederhana dan 1050 aset berisiko rendah.
6.6.3 meneliti dan bersetuju meluluskan Laporan Penilaian Risiko
dan Pelan Pemulihan Risiko ISMS (Semakan September 2017).
Makluman Makluman Penyelaras Penilaian Risiko ISMS/ Peneraju ISMS yang berkenaan
6.7
LAPORAN PELAKSANAAN SISTEM PENGURUSAN
KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
SETIAP PENERAJU ISMS
6.7.1 Mesyuarat meneliti laporan pelaksanaan Sistem
Pengurusan Keselamatan Maklumat setiap peneraju ISMS
yang merangkumi maklumat struktur organisasi,
pelaksanaan aktiviti ISMS anjuran peneraju ISMS dan
status penutupan penemuan Audit Dalaman dan SIRIM.
Perincian mengenai pelaporan setiap peneraju adalah
seperti di Lampiran F.
6.7.2 Mesyuarat meminta semua peneraju memastikan rekod
berkaitan aktiviti ISMS yang dianjurkan disimpan dan
diselenggara dengan baik bagi memudahkan rujukan
semasa proses audit atau sekiranya diperlukan.
6.7.3 Mesyuarat meminta supaya templat pelaporan setiap
peneraju ISMS dikemaskini dengan menambah ruangan
hasil anjuran aktiviti ISMS oleh setiap peneraju yang
mempengaruhi pelaksanaan ISMS.
Makluman
Semua
Peneraju
ISMS
Sekretariat
Pusat
Jaminan
Kualiti
6
MINIT AGENDA TINDAKAN/ MAKLUMAN
6.7.4 Mesyuarat mengambil perhatian bahawa tarikh
kuatkuasa bagi perluasan skop Penilaian Pengajaran dan
Pengurusan Harta Intelek adalah pada 1 Januari 2018
sebagaimana yang telah dipersetujui semasa sesi
perbincangan dengan Datin Paduka Naib Canselor pada 2
Jun 2017. Justeru, data bagi kedua-dua peneraju yang akan
diaudit adalah bermula pada 1 Januari 2018. Bagi
melancarkan lagi persediaan perluasan skop berkenaan,
mesyuarat meminta supaya peneraju perluasan skop
mengadakan taklimat kesedaran kepada staf di PTJ masing-
masing berkaitan pelaksanaan ISMS.
Peneraju
Penilaian
Pengajaran &
Peneraju
Pengurusan
Harta Intelek
6.8
HAL-HAL LAIN 6.8.1 Persediaan Audit Pemantauan Semakan 2 SIRIM Tahun 2017
(a) Mesyuarat mengambil maklum Audit Pemantauan Semakan 2 ISMS SIRIM akan diadakan pada 2 hingga 3 Oktober 2017. Audit ini merupakan sambungan kepada audit yang telah dilaksanakan pada 6 September 2017 di UPM Kampus Bintulu. Perincian mengenai maklumat audit adalah seperti di Lampiran G.
(b) Mesyuarat mengambil maklum tiga (3) orang Juruaudit SIRIM yang akan diketuai oleh Puan Sazlin Alias dan dibantu oleh Puan Efizan Zamri dan Puan Hidayatini Sarmin akan hadir melaksanakan audit pada kali ini.
(c) Mesyuarat mengambil maklum senarai Pusat Tanggungjawab (PTJ) yang akan diaudit adalah seperti berikut:
(i) Pusat Jaminan Kualiti;
(ii) Pusat Pembangunan Maklumat dan Komunikasi;
(iii) Bahagian Kemasukan dan Bahagian Urus Tadbir
Akademik;
(iv) Bahagian Hal Ehwal Pelajar;
(v) Perpustakaan Sultan Abdul Samad;
(vi) Pejabat Pendaftar;
(vii) Pejabat Strategi Korporat dan Komunikasi; dan
(viii) Pejabat Penasihat Undang-Undang.
(d) Mesyuarat meminta supaya Peneraju Pendaftaran
Pelajar Baharu Prasiswazah melaksanakan tindakan
Makluman Makluman Makluman
Peneraju Pendaftaran
7
MINIT AGENDA TINDAKAN/ MAKLUMAN
berikut: (i) menyediakan slaid penerangan berkaitan proses
pendaftaran pelajar baharu prasiswazah sesi 2017/2018 untuk dibentangkan semasa hari audit di Bahagian Hal Ehwal Pelajar;
(ii) menyemak kaedah penyimpanan rekod yang terlibat selepas proses pendaftaran pelajar selesai (softcopy/hardcopy);
(iii) memastikan pegawai yang bertanggungjawab bagi setiap entiti di bawah Peneraju Pendaftaran Pelajar Baharu Prasiswazah dijemput sama semasa sesi audit. Senarai nama pegawai yang terlibat adalah seperti berikut:
Encik Mohd Nazri Noh (BHEP);
Encik Abdul Ghani Yon (BHEP);
Encik Hanis Johari (BHEP);
Puan Suhana Md Chairi (AKAD);
Puan Mazitah Ahmad (BUR);
Dr. Latif Anwar (BKU);
Encik Mohd Nidzam Ismail (BKU);
Encik Mohd Junaidi Haji Yasin (KTDI);
Puan Askina Aziz (K5);
Dr. Suhyna Mohamad Sulaiman (PKU); dan
Puan Rosliza Ibrahim (iDEC).
(e) Mesyuarat meminta semua ahli mengambil perhatian
terhadap keperluan Klausa 4.2 berkaitan legal & regulatory requirement. Mesyuarat mencadangkan supaya surat/panduan dikeluarkan berkaitan pematuhan terhadap klausa ini pada tahun hadapan.
6.8.2 Status Penutupan Penemuan Audit Dalaman ISMS 2017 (NCR/OFI)
(a) Mesyuarat mengambil maklum status penutupan bagi 14 Laporan Ketakakuran (NCR) dan 13 Laporan Peluang Penambahbaikan (OFI) Audit Dalaman ISMS Tahun 2017 adalah sepertimana yang dipaparkan melalui Portal Audit Dalaman.
(b) Mesyuarat mengambil maklum sehingga 28 September 2017, empat (4) NCR telah ditutup manakala selebihnya dalam proses tindakan di peringkat peneraju termasuk
Pelajar Baharu Prasiswazah (Kampus Serdang)
Pengerusi/
Sekretariat
Pusat
Jaminan
Kualiti
Makluman
Makluman
8
MINIT AGENDA TINDAKAN/ MAKLUMAN
dua (2) yang dimohon untuk digugurkan. Pemantauan ke atas penutupan dibuat dari masa ke semasa oleh Penyelaras Audit Dalam UPM.
(c) Mesyuarat meminta peneraju ISMS yang telah lengkap melaksanakan tindakan supaya memuatnaik bukti tindakan ke dalam Portal Audit Dalaman bagi membolehkan NCR/OFI disemak dan ditutup oleh Juruaudit yang terlibat.
Peneraju
ISMS yang
terlibat
6.9
PENANGGUHAN MESYUARAT Mesyuarat ditangguhkan pada jam 11.15 pagi dengan ucapan terima kasih daripada Pengerusi.
9
LAMPIRAN A
SENARAI KEHADIRAN
MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
KALI KEENAM
HADIR
1. Encik Mohd Faizal Daud - Pengerusi
2. Encik Rosmi Othman (Penasihat Jawatankuasa Kerja ISMS)
3. Tuan Haji Rosdi Wah (Penasihat Jawatankuasa Kerja ISMS)
4. Encik Shahril Iskandar Amir
(Peneraju, Pasukan Pusat Data)
5. Encik Shahriman Hashim
(Peneraju, Pasukan Pengurusan Harta Intelek)
6. Puan Yasminani Mohamad
(Peneraju, Pasukan Penilaian Pengajaran)
7. Puan Nurul Fatihah Md Marham (Penyelaras Penilaian Risiko ISMS)
8. Puan Shamriza Shari - Setiausaha
TURUT HADIR
1. Puan Noorizai Haji Mohamad Noor (Ketua Bahagian Pengurusan Kualiti Perkhidmatan, CQA)
2. Encik Abdul Ghani Yon (Wakil Encik Mohd Nazri Noh)
3. Puan Hairunisah Abdul Rahman (Wakil Dr. Aryaty Alwie) - melalui Video Konferen
TIDAK HADIR DENGAN KENYATAAN
1. Encik Mohd Nazri Noh
(Peneraju, Pasukan Pendaftaran Pelajar Baharu Prasiswazah – Kampus Serdang)
2. Dr. Aryaty Alwie
(Peneraju, Pasukan Pendaftaran Pelajar Baharu Prasiswazah – Kampus Bintulu)
3. Puan Hashimah Amat Sejani (Penyelaras Penilaian Risiko ISMS)
1/8
TINDAKAN SUSULAN BAGI PERKARA BERBANGKIT MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS),
KALI KEEMPAT PADA 3 MEI 2017
BIL MINIT AGENDA TINDAKAN STATUS PELAKSANAAN TINDAKAN
1. 4.3.2 PERKARA BERBANGKIT
4.3.2 Mesyuarat seterusnya mengambil perhatian terhadap perkara berikut, iaitu:
(a) Minit 2.3 (b) - meminta supaya semua
peneraju ISMS mengambil perhatian terhadap kehadiran setiap kursus/bengkel/latihan ISMS
yang dianjurkan oleh pihak Pusat Jaminan Kualiti
(CQA) dan meminta wakil yang hadir mewakili peneraju dapat menyalurkan maklumat yang
diperolehi semasa program kepada peneraju yang terlibat.
Semua Peneraju ISMS
Maklum Balas Pusat Data: Pemantauan kehadiran bagi setiap kursus/ bengkel/
latihan ISMS bagi peneraju Pusat Data telah dilaksanakan.
2. 4.3.2 (c) Minit 3.2 – meminta supaya verifikasi terhadap
bukti tindakan kawalan bagi proses pendaftaran
pelajar baharu prasiswazah sesi kemasukan
2016/2017 dibuat bagi perkara-perkara berikut:
(i) surat lantikan kepada pelajar yang
bertugas semasa hari pendaftaran;
(ii) penggunaan ID sementara oleh pelajar/
staf yang tidak mempunyai ID tetap
untuk akses ke Sistem SMP; dan
(iii) pegawai yang mencetak dan
mengesahkan senarai pelajar adalah
pegawai yang sama (ID SMP yang sama).
Peneraju Pendaftaran
Pelajar Baharu Prasiswazah
(Kampus Serdang)
Telah dilaksanakan. Semua Fasilitator telah diberikan surat lantikan sebagai Fasilitator Universiti sempena
Pendaftaran Pelajar Baharu sesi 2017/2018.
Fasilitator Universiti tidak diberikan dan tidak
dibenarkan akses ID SMP. Hanya staf kolej sahaja yang bertugas semasa hari pendaftaran pelajar baharu
telah diberi ID SMP untuk “Y” pengesahan pelajar.
LAMPIRAN B
2/8
Melalui pelaksanaan Sistem e-daftar pada
tahun 2017, peneraju boleh mencetak
senarai pelajar dimana id pegawai yang
telah diberi kebenaran untuk mencetak
akan terpapar secara automatik pada
setiap muka surat yang dicetak dan tidak
perlu lagi ditandatangani pada setiap
muka surat sepertimana perlaksanaan
sebelum ini.
(iv) komputer yang terlibat dengan proses
pendaftaran pelajar diselenggara dan
simpan rekod selenggaraan. Untuk
pelaksanaan tahun 2017, mesyuarat
meminta supaya memo dikeluarkan
kepada pihak iDEC untuk memastikan
komputer yang terlibat diselenggara oleh
Pegawai IT Zon/Fakulti.
(v) turut meminta supaya taklimat kesedaran kepada peneraju ISMS pada masa akan
datang mengambilkira maklumat berkaitan penemuan audit dalaman dan
audit badan pensijilan.
Telah dilaksanakan. Staf yang mencetak dan
mengesahkan senarai pelajar baharu adalah staf BHEP
yang mempunyai ID SMP.
Telah dilaksanakan seperti dalam minit mesyuarat
Jawatankuasa Induk Kemasukan Pelajar Baharu sesi
2017/2018.
Telah dilaksanakan peringatan kepada semua pengurus kolej berkaitan penemuan audit dalaman
semasa mesyuarat pelaksana Kemasukan Pelajar Baharu sesi 2017/2018.
2. 4.4 LAPORAN SKOP PENSIJILAN SISTEM
PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
4.4.3 meneliti dan bersetuju dengan penetapan skop pensijilan yang akan digunapakai oleh peneraju
ISMS termasuk perluasan skop/entiti adalah seperti berikut:
Bil Penyataan Skop
Pengecualian Skop
Peneraju
1. Sistem Pengurusan Keselamatan
Maklumat hanya
melibatkan
Pengecualian skop pensijilan ISMS proses
pendaftaran pelajar baharu
prasiswazah
Pasukan Pendaftaran Pelajar
Baharu Prasiswaza
h (Kampus
Sekretariat Pusat
Jaminan Kualiti/ Peneraju ISMS
Telah dilaksanakan. Maklumat skop pensijilan telah
dikemaskini dalam Manual Sistem Keselamatan Maklumat (UPM/ISMS/PGR/MP) berkuatkuasa pada 26
Mei 2017.
3/8
proses Pendaftaran
Pelajar Baharu Prasiswazah
UPM Kampus Serdang dan
Kampus Bintulu
adalah kepada pendaftaran
kursus, Meal Plan dan aktiviti
kemasukan pendaftaran
pelajar baharu prasiswazah
untuk:
i. Pengajian Jarak Jauh;
ii. Program untuk
Eksekutif; dan
iii. Antarabangs
a
Serdang dan
Kampus Bintulu)
2. Sistem Pengurusan
Keselamatan
Maklumat untuk
Pengoperasian Pusat Data
bagi proses Pendaftaran
Pelajar Baharu Prasiswazah
Tiada Pasukan Pusat Data
3. Sistem
Pengurusan Keselamatan
Maklumat untuk
Pengoperasian
Pusat Pemulihan
Bencana bagi proses
Pendaftaran Pelajar Baharu
Prasiswazah
Tiada Pasukan
Pusat Data
4. Proses Penilaian
Tiada Pasukan Penilaian
4/8
Pengajaran Pensyarah
(Program Prasiswazah
dan Siswazah)**
Pengajaran
5. Proses
Pengurusan Harta Intelek
Universiti Putra
Malaysia**
Pemfailan harta
intelek menggunakan
Sistem IPonline MyIPO
(Perbadanan Harta Intelek
Malaysia)
Pasukan
Pengurusan Harta
Intelek
Nota: **Skop Pensijilan bagi dua peneraju baharu (item 4
dan 5) tidak akan dimasukkan ke dalam dokumentasi ISMS Tahun 2017 dan hanya akan dikemaskini ke
dalam dokumentasi selepas mendapat pengesahan daripada pihak Pengurusan UPM/
Jawatankuasa Kualiti UPM.
3. 4.4 4.4.4 mengambil maklum pelajar pra diploma di UPM
Kampus Bintulu (UPMKB) tidak termasuk dalam definisi pelajar prasiswazah. Bagaimanapuan,
jumlah pelajar pra diploma boleh diambilkira dalam statistik jumlah pelajar yang mendaftar
semasa sesi pendaftaran Jun 2017 di UPMKB.
Peneraju
Pendaftaran Pelajar Baharu
Prasiswazah (Kampus Bintulu)
Ambil maklum dan telah dilaksanakan.
4. 4.5 LAPORAN OBJEKTIF KESELAMATAN SISTEM
PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
4.5.2 meneliti dan bersetuju dengan penetapan objektif
keselamatan bagi peneraju yang terlibat dengan
skop pensijilan sediaada termasuk perluasan entiti ke UPM Kampus Bintulu adalah seperti berikut:
Bil Penyataan Objektif Sasaran
pencapaian
1. Memastikan pelajar
prasiswazah yang
mendaftar
100%
Peneraju ISMS
yang berkenaan
5/8
mengemukakan tawaran yang sah
2. Meningkatkan
pembayaran yuran pengajian secara atas
talian
80% (UPM
Serdang) 60% (UPM
Bintulu)
3. Memastikan proses
pemulihan sistem aplikasi
pendaftaran pelajar baharu dapat
dilaksanakan
≤ 8 jam
4. Memastikan Service Level Agreement (SLA) 95.0
sokongan ICT Pusat Data (rangkaian, sistem
aplikasi dan pangkalan data) terhadap proses
pendaftaran pelajar
baharu bebas dari gangguan setiap
semester
95%
Maklumbalas Peneraju Pusat Data
3. Memastikan proses pemulihan sistem aplikasi
pendaftaran pelajar baharu dapat dilaksanakan - Simulasi DRP telah dilaksanakan pada
12 Mei 2017 - 3 jam
4. Memastikan Service Level Agreement (SLA) 95.0
sokongan ICT Pusat Data (rangkaian, sistem
aplikasi dan pangkalan data) terhadap proses pendaftaran pelajar baharu bebas dari gangguan
setiap semester - Tiada aduan semasa proses pendaftaran
pelajar baharu
- 100%
5. 4.5 4.5.3 mengambil maklum dan bersetuju Service Level Agreement (SLA) bagi objektif keselamatan
yang keempat hanya dikira bermula pada
hari pendaftaran pelajar (tidak termasuk proses pra pendaftaran melalui Sistem e-daftar
yang berlaku sebelum tarikh pendaftaran pelajar baharu prasiswazah).
Peneraju Pusat Data
Ambil maklum dan telah dilaksanakan.
6. 4.5 4.5.4 bersetuju bahawa objektif ‘Memastikan semakan
penilaian risiko dan pelan pemulihan risiko dilaksanakan sekurang- kurangnya sekali setahun’
digugurkan atas justifikasi objektif berkenaan merupakan keperluan yang telah
digariskan dalam Standard MS ISO/IEC 27001:2013.
Sekretariat Pusat
Jaminan Kualiti/ Peneraju Pusat
Data
Tindakan telah dilaksanakan. Objektif berkenaan telah
digugurkan daripada pengukuran Objektif Keselamatan Maklumat ISMS tahun 2017.
6/8
7. 4.5 4.5.5 bersetuju penyataan objektif bagi Peneraju
Pasukan Penilaian Pengajaran dan
Peneraju Pengurusan Harta Intelek akan diteliti semula selepas persetujuan diperolehi
daripada pihak pengurusan atasan sebelum pelaksanaan kuatkuasa perluasan skop ISMS
pada tahun 2018.
Sekretariat Pusat
Jaminan Kualiti/
Peneraju ISMS yang berkenaan
Perbincangan bersama dengan Datin Paduka Naib
Canselor telah diadakan pada 2 Jun 2017 bagi
membincangkan berkaitan penangguhan tarikh kuatkuasa perluasan skop ISMS bagi skop Pengurusan
Harta Intelek dan Penilaian Pengajaran dan dipersetujui kedua-dua skop dikuatkuasakan pada
Januari 2018. Penelitian semula objektif akan
dilaksanakan sebelum tarikh kuatkuasa.
8. 4.6 LAPORAN DOKUMENTASI SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC
27001:2013
4.6.2 meneliti dan bersetuju meluluskan 19 daripada 20 cadangan pindaan dokumen yang dikemukakan
dengan beberapa penambahbaikan yang
dicadangkan semasa mesyuarat dan akan dikuatkuasakan pada tarikh 26 Mei 2017.
Sekretariat Pusat Jaminan Kualiti/
Timbalan Pegawai
Kawalan Dokumen (TPKD) IDEC
Tindakan telah dilaksanakan. Kesemua 19 dokumen yang terlibat telah dikuatkuasakan pada tarikh 26 Mei
2017.
9. 4.6 4.6.3 bersetuju cadangan pindaan dokumen bagi Statement of Applicability (SoA) ditangguhkan
untuk memberi ruang bagi semakan yang lebih terperinci sebelum dibawa dan
diluluskan semula dalam Mesyuarat Jawatankuasa Kerja ISMS (Khas) yang dijadualkan pada 30
Mei 2017.
Sekretariat Pusat Jaminan Kualiti/
Timbalan Pegawai Kawalan Dokumen
(TPKD) IDEC
Semakan telah dibuat dan dibawa untuk kelulusan semula dalam Mesyuarat Jawatankuasa Kerja ISMS
Kali ke-5 (khas) pada 29 Mei 2017. Dokumen telah dikuatkuasa bermula pada 1 Jun 2017.
10. 4.7 LAPORAN PENILAIAN RISIKO (RA) DAN PELAN PEMULIHAN RISIKO (RTP) SISTEM PENGURUSAN
KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
4.7.3 meminta setiap peneraju mengenalpasti kategori aset dengan tahap risiko sederhana bagi
menentukan punca risiko berlaku dan seterusnya menentukan kaedah kawalan
yang bersesuaian bagi risiko berkenaan.
Peneraju ISMS yang berkenaan
Maklumbalas Peneraju Pusat Data
Rujuk lampiran Laporan penilaian risiko Pusat Data.
7/8
11. 4.7 4.7.4 meminta setiap peneraju menentukan ‘safeguard
planning’ untuk aset berisiko sederhana
dan memilih beberapa ‘safeguard planning’ untuk dijadikan objektif ISMS untuk dibawa
dan dibentangkan dalam Mesyuarat Jawatankuasa Kerja ISMS akan datang.
Peneraju ISMS
yang berkenaan
Maklumbalas Peneraju Pusat Data
Rujuk lampiran Laporan penilaian risiko Pusat Data
12. 4.7 4.7.5 bersetuju meluluskan laporan penilaian risiko (semakan April 2017) sepertimana yang telah
dibentang dengan beberapa penambahbaikan
yang dicadangkan semasa mesyuarat.
Penyelaras Penilaian Risiko
ISMS/
Peneraju ISMS yang berkenaan
Tindakan telah dilaksanakan.
13. 4.8 LAPORAN PELAKSANAAN SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC
27001:2013 SETIAP PENERAJU ISMS
4.8.3 Mesyuarat meminta mana-mana peneraju yang telah membuat pengemaskinian maklumat
pada dokumen ini supaya menghantar dokumen
yang terkini untuk rujukan dan simpanan pihak sekretariat.
Peneraju ISMS yang berkenaan
Maklumbalas Peneraju Pusat Data
Rujuk lampiran Laporan pelaksanaan ISMS Pusat Data
14. 4.9 HAL-HAL LAIN
4.9.1 Perancangan Soal Selidik Pihak Yang berkepentingan Sistem Pengurusan
Keselamatan Maklumat (ISMS) MS ISO/ IEC 27001:2013 Tahun 2017
(a) Mesyuarat mengambil maklum pelaksanaan soal selidik pihak yang berkepentingan ISMS
tahun 2017 akan dilaksanakan secara dua (2) kategori, iaitu:
(i) Soal selidik pendaftaran pelajar baharu
prasiswazah oleh Peneraju Pendaftaran
Pelajar Baharu Prasiswazah (Serdang dan Bintulu) semasa sesi kemasukan Jun dan
September 2017. Penilaian soal selidik ini akan diteruskan kepada pelajar baharu
prasiswazah sehingga pihak
berkepentingan yang bersesuaian dikenalpasti. Soalan bagi soal selidik akan
Peneraju
Pendaftaran
Pelajar Baharu Prasiswazah
(Kampus Serdang dan Bintulu)
Telah dilaksanakan semasa pendaftaran pelajar baharu
sesi 2017/2018 di 5 Zon Pendaftaran pelajar. Analisis
soal selidik sedang dalam proses peringkat peneraju.
8/8
disediakan oleh peneraju dan akan
diserahkan kepada pihak iDEC untuk
tujuan pembangunan soal selidik berkenaan secara atas talian; dan
(ii) Soal selidik kepada PTJ yang menerima
perkhidmatan Pusat Data di UPM oleh
Peneraju Pusat Data semasa sesi kemasukan September 2017.
(b) Mesyuarat meminta supaya kedua-dua peneraju membentangkan mengenai
perancangan pelaksanaan soal selidik masing-
masing dalam Mesyuarat Jawatankuasa Kualiti akan datang.
Peneraju Pasukan
Pusat Data
Peneraju ISMS yang berkenaan
Emel rasmi kepada setiap Ketua PTJ bagi
melengkapkan survey telah di hantar pada 15
September 2017.
Maklumbalas Peneraju Pendaftaran Pelajar Baharu Prasiswazah
Perancangan soal selidik pendaftaran pelajar baharu
prasiswazah sesi 2017/2018 telah dibentangkan dalam Mesyuarat MKSP 2017 pada 23 Ogos 2017. Hasil kaji
selidik kini sedang dalam proses analisis data oleh pihak iDEC.
15. 4.9 4.9.2 Status Penutupan Penemuan Audit Dalaman ISMS 2016 (NCR/OFI)
(b) Mesyuarat meminta Peneraju/PTJ yang belum
mengambil tindakan ke atas Laporan Peluang
Penambahbaikan (OFI) Audit Dalaman ISMS supaya mengambil tindakan segera sebelum
pelaksanaan Audit Dalaman ISMS akan datang.
Peneraju ISMS
yang berkenaan
Maklumbalas Peneraju Pusat Data
Rujuk lampiran Laporan penutupan penemuan audit
dalaman ISMS Pusat Data.
16. 4.9 4.9.3 Persediaan Audit Dalaman ISMS Tahun
2017
(b) Mesyuarat meminta supaya UPM Kampus Bintulu
(UPMKB) turut diaudit pada 5 Jun 2017 memandangkan tarikh berkenaan bersamaan
dengan hari pendaftaran Pelajar Baharu Diploma di UPMKB. Mesyuarat meminta pertimbangan
Pusat Jaminan Kualiti untuk menghantar seorang Juruaudit Dalaman ISMS yang terlatih untuk
melaksanakan pemerhatian dan audit proses di
UPMKB
Sekretariat Pusat
Jaminan Kualiti
Juruaudit Dalaman UPM iaitu Puan Hashimah Amat
Sejani telah dihantar untuk membuat pemerhatian dan audit semasa hari pendaftaran Pelajar Baharu Diploma
di UPMKB.
1/2
TINDAKAN SUSULAN BAGI PERKARA BERBANGKIT MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS),
KALI KELIMA (KHAS) PADA 29 MEI 2017
BIL MINIT AGENDA TINDAKAN STATUS PELAKSANAAN TINDAKAN
1. 5.2 LAPORAN DOKUMENTASI SISTEM PENGURUSAN
KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC
27001:2013 -PERUBAHAN DOKUMEN STATEMENT OF APPLICABILITY (SOA)
5.2.3 bersetuju meluluskan cadangan perubahan
Statement of Applicability (SoA) untuk
dikuatkuasakan pada 1 Jun 2017 dengan skop dokumentasi dipinda daripada ‘Operasi
Perkhidmatan Sokongan (OPR)’ kepada ‘Sokongan (SOK)’ memandangkan ianya merupakan
dokumen utama yang akan dirujuk oleh
semua PTJ/entiti yang melaksanakan ISMS di UPM.
5.2.4 meminta supaya maklumat perubahan terkini
dokumen SoA dihebahkan melalui emel kepada semua PTJ/entiti yang terlibat.
Sekretariat Pusat
Jaminan Kualiti/
Timbalan Pegawai Kawalan Dokumen
iDEC
Sekretariat Pusat
Jaminan Kualiti
Telah dilaksanakan. Dokumen Statement of Applicabilty telah dipinda ke skop Sokongan
berkuatkuasa pada tarikh 1 Jun 2017.
Maklumat perubahan terkini SoA (kuatkuasa 1 Jun
2017) telah dihebahkan kepada semua peneraju ISMS/entiti sokongan lain terlibat melalui emel pada 1
Jun 2017.
2. 5.3 HAL-HAL LAIN
5.3.1 Persediaan Audit Dalaman ISMS 2017
(b) mengambil maklum bagi pendaftaran
pelajar baharu prasiswazah tahun 2017 menggunakan Sistem e-daftar, semua
kaunter termasuk kaunter semakan tidak lagi diperlukan. Bagaimanapun, proses
verifikasi maklumat pelajar yang
Peneraju Proses
Pendaftaran Pelajar Baharu
Prasiswazah
Telah dilaksanakan. Senarai semak telah digunapakai
pada pendaftaran pelajar baharu 6 September 2017 dan telah diedarkan di 5 Zon Pendaftaran.
LAMPIRAN B
2/2
mendaftar perlu dilaksanakan bagi
memastikan pelajar yang mendaftar
adalah pelajar yang sebenar. Bagi memastikan perkara ini dikawal, satu
senarai semak akan dibangunkan oleh peneraju proses terlibat untuk edaran ke
semua kolej kediaman.
(c) mengambil maklum satu lawatan
pemerhatian akan dibuat ke atas proses pendaftaran pelajar baharu Program Asasi
Sains Pertanian pada 1 Jun 2017. Hasil lawatan pemerhatian berkenaan akan
dikongsi dengan pihak UPMKB untuk
tujuan penambahbaikan bagi proses pendaftaran pelajar baharu diploma di
Kampus Bintulu pada 5 Jun 2017.
(d) meminta supaya satu sesi penerangan
ringkas diberikan oleh Peneraju Proses Pendaftaran Pelajar Baharu Prasiswazah
(Kampus Serdang) berkaitan aliran proses e-daftar kepada ahli mesyuarat atau
Juruaudit Dalaman ISMS yang terlibat sejurus sebelum proses lawatan
pemerhatian diadakan pada 1 Jun 2017.
Sekretariat Pusat
Jaminan Kualiti/ Penyelaras
Audit Dalam
Sekretariat Pusat
Jaminan Kualiti/ Penyelaras
Audit Dalam/Peneraju
Proses Pendaftaran
Pelajar Baharu
Prasiswazah (Kampus Serdang)
Dapatan hasil lawatan pemerhatian proses pendaftaran
pelajar baharu Program Asasi Sains Pertanian telah dikongsikan oleh Juruaudit Dalaman UPM yang
ditugaskan untuk membuat pemerhatian dan audit proses pendaftaran pelajar baharu Diploma di UPMKB.
Penerangan ringkas berkaitan aliran proses e-daftar
telah disampaikan oleh Puan Suhana Md Chairi mewakili Peneraju Proses Pendaftaran Pelajar Baharu
Prasiswazah (Kampus Serdang) sebelum lawatan pemerhatian diadakan pada 1 Jun 2017.
1
MESYUARAT JAWATANKUASA KERJA
SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013 KALI KEENAM
1. TUJUAN
Kertas ini adalah untuk mendapat pengesahan dan kelulusan Mesyuarat Jawatankuasa
Kerja Sistem Pengurusan Keselamatan Maklumat (ISMS) Universiti Putra Malaysia (UPM)
berkaitan laporan pencapaian Objektif Keselamatan Maklumat bagi Sistem Pengurusan
Keselamatan Maklumat (ISMS) MS ISO/IEC 27001:2013 bagi tahun 2017.
2. LATARBELAKANG
Pihak Pengurusan UPM telah menetapkan Objektif Keselamatan Maklumat yang
bersesuaian dengan fungsi yang terlibat bagi memastikan semua data dan maklumat di
UPM adalah selamat. Dalam usaha memastikan ISMS dilaksana dengan berkesan, Objektif
Keselamatan Maklumat telah dikenalpasti sepertimana berikut:
a) Memastikan semakan penilaian risiko dan pelan pemulihan risiko dilaksanakan
sekurang-kurangnya sekali setahun;
b) Menjalankan ujian simulasi pelan pemulihan bencana ICT sekurang-kurangnya 1 kali
setahun;
c) Memastikan 95% sokongan ICT (rangkaian, sistem aplikasi dan pangkalan data)
terhadap proses pendaftaran pelajar baharu bebas dari gangguan setiap semester;
d) Memastikan 100% pelajar yang mendaftar adalah pelajar yang mendapat tawaran; dan
e) Memastikan 100% borang permohonan kad pelajar yang diterima diisi dengan lengkap.
Pada tahun 2017, Objektif Keselamatan Maklumat telah disemak dan dikemaskini semula
mengambilkira aktiviti perluasan skop ISMS yang melibatkan pihak UPM Kampus Bintulu
(UPMKB) bagi skop pendaftaran pelajar baharu prasiswazah. Penetapan objektif ISMS yang
LAPORAN PENCAPAIAN OBJEKTIF KESELAMATAN MAKLUMAT SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
TAHUN 2017
LAMPIRAN C
2
baharu ini telah dikemaskini dalam Manual Kualiti Sistem Keselamatan Maklumat
(UPM/ISMS/PGR/MP) dan telah dibawa untuk kelulusan bersama menerusi Mesyuarat
Jawatankuasa Kualiti Kali ke - 33 (Khas) Secara Edaran yang diadakan pada 22 Mei 2017
dan telah dikuatkuasa bermula 26 Mei 2017.
Perincian mengenai laporan pencapaian Objektif Keselamatan Maklumat yang baharu bagi
tahun 2017 adalah seperti pada Lampiran 1.
3. SYOR
Ahli mesyuarat diminta mengambil tindakan sepertimana berikut:
i) mengambil perhatian terhadap perubahan terhadap Objektif dan Sasaran
Keselamatan Maklumat tahun 2017 yang mula dipantau dan diukur
keberkesanannya bermula pada 26 Mei 2017; dan
ii) mengesahkan pencapaian kesemua Objektif Keselamatan Maklumat bagi tahun
2017.
3
Lampiran 1
BIL
OBJEKTIF KESELAMATAN MAKLUMAT
SASARAN PENERAJU
PENCAPAIAN 2016
PENCAPAIAN (2017)
1. Memastikan pelajar prasiswazah yang mendaftar mengemukakan tawaran yang sah
100% Pasukan Pendaftaran Pelajar Baharu Prasiswazah (Kampus Serdang dan Bintulu)
100% 100%
2. Meningkatkan pembayaran yuran pengajian secara atas talian
80% (UPM Serdang)
60%
(UPM Bintulu)
Pasukan Pendaftaran Pelajar Baharu Prasiswazah (Kampus Serdang dan Bintulu)
Objektif baharu 2017
100% (UPM Serdang)
98%
(UPM Bintulu)
3. Memastikan proses pemulihan sistem aplikasi pendaftaran pelajar baharu dapat dilaksanakan
≤ 8 jam Pasukan Pusat Data Objektif baharu 2017
Simulasi DRP Sistem SMP pada 12 Mei 2017 telah berjaya dilaksanakan pemulihan selepas 3 jam
4. Memastikan Service Level Agreement (SLA) 95.0 sokongan ICT Pusat Data (rangkaian, sistem aplikasi dan pangkalan data) terhadap proses pendaftaran pelajar baharu bebas dari gangguan setiap semester
95% Pasukan Pusat Data Objektif baharu 2017
100%
LAPORAN PENCAPAIAN OBJEKTIF DAN SASARAN KESELAMATAN MAKLUMAT
TAHUN 2017
1
MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
KALI KEENAM
1. TUJUAN
Kertas ini adalah untuk mendapat pengesahan Mesyuarat Jawatankuasa Kerja Sistem
Pengurusan Keselamatan Maklumat (ISMS) Universiti Putra Malaysia (UPM) Kali Keenam
berkaitan cadangan pindaan dokumen ISMS iaitu Statement of Applicability
(UPM/ISMS/OPR/SOA).
2. CADANGAN PINDAAN DOKUMEN
Cadangan perubahan ke atas Statement of Applicability (UPM/ISMS/OPR/SOA) adalah
berdasarkan penambahbaikan yang perlu dilaksana hasil dapatan audit dalaman ISMS dan
juga perubahan terkini yang berlaku dalam proses pelaksanaan Sistem Pengurusan
Keselamatan Maklumat oleh peneraju/entiti yang terlibat.
Perincian mengenai huraian pindaan dokumen boleh dirujuk pada Lampiran 1.
3. SYOR
Ahli mesyuarat diminta mengambil tindakan sepertimana berikut:
i) mengambil perhatian terhadap pindaan Statement of Applicability
(UPM/ISMS/OPR/SOA); dan
ii) meluluskan cadangan pindaan Statement of Applicability (UPM/ISMS/OPR/SOA)
untuk dikuatkuasakan pada 13 Oktober 2017.
LAPORAN DOKUMENTASI ISMS:
CADANGAN PINDAAN DOKUMEN (CPD)
LAMPIRAN D
2
Lampiran 1
HURAIAN PINDAAN DOKUMEN ISO UPM
No. CPD
Pemilik
Proses
Huraian Pindaan Dokumen * Tambahan (T) /
Pemotongan
(P) Asal Pindaan
ISMS
(IDEC):
5/2017
iDEC Nama Dokumen: STATEMENT OF APPLICABILITY
Kod Dokumen:UPM/ISMS/SOK/SOA
No. Isu:_01_, No. Semakan:_10_, Tarikh Kuatkuasa: 01/06/2017
Nama Dokumen: STATEMENT OF APPLICABILITY
Kod Dokumen:UPM/ISMS/SOK/SOA
No. Isu:_02_, No. Semakan:_00_, Tarikh Kuatkuasa: 13/10/2017
1.0 PENGENALAN
Dokumen penyataan pemakaian Statement of Applicability (SoA)
menggariskan control objectives dan controls di Annex A dalam
Standard ISO/IEC 27001:2013 selaras dengan keperluan Sistem
Pengurusan Keselamatan Maklumat di Universiti Putra Malaysia.
1.0 PENGENALAN
Dokumen penyataan pemakaian Statement of Applicability (SoA)
menggariskan control objectives dan controls di Annex A dalam
Standard MS ISO/IEC 27001:2013 selaras dengan keperluan Sistem
Pengurusan Keselamatan Maklumat di Universiti Putra Malaysia.
3.0 PROSES PENYATAAN PEMAKAIAN (SoA)
3.1 PENYEDIAAN SoA
Proses yang terlibat dalam penyediaan SoA merangkumi:
(a) Memahami keperluan SoA dalam Standard MS
ISO/IEC 27001:2013.
(b) Menyediakan kandungan SoA dengan
mengambil kira aspek berikut:
(i) Menyenaraikan semua control
objectives dan controls di Annex A
dalam Standard MS ISO/IEC
27001:2013;
(d) Mendapat kelulusan dan tandatangan pihak
pengurusan yang bertanggungjawab ke atas skop
Pensijilan ISMS.
3.0 PROSES PENYATAAN PEMAKAIAN (SoA)
3.1 PENYEDIAAN SoA
Proses yang terlibat dalam penyediaan SoA merangkumi:
(a) Memahami keperluan SoA dalam Standard MS
ISO/IEC 27001:2013.
(b) Menyediakan kandungan SoA dengan
mengambil kira aspek berikut:
(i) Menyenaraikan semua control
objectives dan controls di Annex A
dalam Standard MS ISO/IEC
27001:2013;
3
Lampiran 1
4.0 JADUAL PENYATAAN PEMAKAIAN (SoA)
SoA di LAMPIRAN A menyediakan ringkasan keputusan berkaitan
penguraian risiko (risk treatment). Sebarang control objectives dan
controls yang tidak dipilih diberikan alasan pengecualiannya bagi
memastikan suatu kawalan tidak sengaja diabaikan.
4.0 JADUAL PENYATAAN PEMAKAIAN (SoA)
SoA di LAMPIRAN A menyediakan ringkasan keputusan berkaitan
pemulihan risiko (risk treatment). Sebarang control objectives dan
controls yang tidak dipilih diberikan alasan pengecualiannya bagi
memastikan suatu kawalan tidak sengaja diabaikan.
Jadual 1: SoA Pensijilan ISO/IEC 27001:2013 ISMS Universiti Putra
Malaysia
Lampiran A: SoA Pensijilan MS ISO/IEC 27001:2013 ISMS
Universiti Putra Malaysia
SEC : A.5.1.1
Current Control :
Dasar ISMS UPM
Prosedur Kawalan Dokumen dan Rekod (UPM/PGR/P001)
Prosedur Audit Dalaman ISO (UPM/PGR/P004)
Prosedur Kawalan Ketakakuran, Tindakan Pembetulan, Tindakan Pencegahan Dan Peluang Penambahbaikan (UPM/PGR/P003)
SEC : A.5.1.1
Current Control :
Dasar ISMS UPM
Prosedur Pengurusan Dokumen ISO (UPM/PGR/P001)
SEC : A.5.1.2
Current Control :
Dasar ISMS UPM
Prosedur Kawalan Dokumen dan Rekod (UPM/PGR/P001)
SEC : A.5.1.2
Current Control :
Dasar ISMS UPM
Manual Sistem Pengurusan Keselamatan Maklumat
(UPM/ISMS/PGR/MP)
SEC : A.6.1.2
Current Control :
GPKTMK (12.1 c) Pengasingan Tugas Dan Tanggungjawab
SEC : A.6.1.2
Current Control :
Senarai tugas staf UPM
SEC : A.6.1.3
Current Control :
Pelan Kesinambungan Perkhidmatan (PKP)
Pelan Komunikasi krisis
Pelan Tindak Balas Insiden
Pelan Pemulihan Bencana ICT (DRP ICT)
Pengauditan OSHA
SEC : A.6.1.3
Current Control :
Akta Universiti dan Kolej Universiti 1971 Pindaan 2012
Perlembagaan Universiti Putra Malaysia
Kaedah-kaedah Universiti
4
Lampiran 1
SEC : A.6.2.2
Justification :
Pentadbir Sistem dibenarkan untuk akses dari luar UPMNET.
Akses dari UPMNET hanya dibenarkan dari workstation Pentadbir
Sistem yang terkawal
SEC : A.6.2.2
Justification :
Memastikan kawalan capaian kepada sistem (teleworking) oleh
staf yang dibenarkan sahaja.
SEC : A.7.2.2
Owner : Pejabat Pendaftar
SEC : A.7.2.2
Owner : Pejabat Pendaftar, Pejabat Bursar
T
SEC : A.7.3.1
Owner : Pejabat Pendaftar
SEC : A.7.3.1
Owner : Pejabat Pendaftar, Pejabat Bursar
T
SEC : A.9.2.1
Current Control :
GPKTMK Perkara 9.2 : Pengurusan Capaian Pengguna
Prosedur Kawalan dan Pemantauan Capaian ke Sistem di
Pusat Data (UPM/ISMS/OPR/P003)
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/PEMANTAUAN CAPAIAN)
SEC : A.9.2.1
Current Control :
GPKTMK Perkara 9.2 : Pengurusan Capaian Pengguna
Prosedur Kawalan dan Pemantauan Capaian ke Sistem di
Pusat Data (UPM/ISMS/OPR/P003)
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/PEMANTAUAN CAPAIAN)
Garis Panduan Pengurusan Identiti
(UPM/ISMS/SOK/GP07/IDENTITI)
Garis Panduan Pengurusan Identiti Pengguna (ID) Sistem
Maklumat Pelajar
SEC : A.9.2.2
Current Control :
GPKTMK Perkara 9.2 : Pengurusan Capaian Pengguna
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/ PEMANTAUAN CAPAIAN)
SEC : A.9.2.2
Current Control :
GPKTMK Perkara 9.2 : Pengurusan Capaian Pengguna
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/ PEMANTAUAN CAPAIAN)
Garis Panduan Pengurusan Identiti
(UPM/ISMS/SOK/GP07/IDENTITI)
Garis Panduan Pengurusan Identiti Pengguna (ID) Sistem
Maklumat Pelajar
5
Lampiran 1
SEC : A.9.2.3
Current Control :
GPKTMK Perkara 9.2 : Pengurusan Capaian Pengguna
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/ PEMANTAUAN CAPAIAN)
SEC : A.9.2.3
Current Control :
GPKTMK Perkara 9.2 : Pengurusan Capaian Pengguna
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/ PEMANTAUAN CAPAIAN)
Garis Panduan Pengurusan Identiti
(UPM/ISMS/SOK/GP07/IDENTITI)
Garis Panduan Pengurusan Identiti Pengguna (ID) Sistem
Maklumat Pelajar
SEC : A.9.2.5
Owner : Peneraju ISMS
Current Control :
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR /GP06/PEMANTAUAN CAPAIAN)
SEC : A.9.2.5
Owner : Peneraju ISMS, Pejabat Bursar
Current Control :
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR /GP06/PEMANTAUAN CAPAIAN)
Garis Panduan Pengurusan Identiti
(UPM/ISMS/SOK/GP07/IDENTITI)
Garis Panduan Pengurusan Identiti Pengguna (ID) Sistem
Maklumat Pelajar
T
SEC : A.9.4.1
Current Control :
GPKTMK 9.1 : Dasar Kawalan Capaian
Prosedur Kawalan dan Pemantauan Capaian ke Sistem
(UPM/ISMS/OPR/P003)
Garis Panduan Kawalan Akses Ke Pusat Data
(UPM/ISMS/OPR/GP03/KAWALAN AKSES)
Garis Panduan Pemantauan Capaian Ke Sistem
UPM/ISMS/OPR/GP06/PEMANTAUAN CAPAIAN)
Garis Panduan Pengendalian Maklumat
(UPM/ISMS/SOK/GP03/PENGENDALIAN MAKLUMAT)
SEC : A.9.4.1
Current Control :
GPKTMK 9.1 : Dasar Kawalan Capaian
Prosedur Kawalan dan Pemantauan Capaian ke Sistem
(UPM/ISMS/OPR/P003)
Garis Panduan Kawalan Akses Ke Pusat Data
(UPM/ISMS/OPR/GP03/KAWALAN AKSES)
Garis Panduan Pemantauan Capaian Ke Sistem
UPM/ISMS/OPR/GP06/PEMANTAUAN CAPAIAN)
Garis Panduan Pengendalian Maklumat
(UPM/ISMS/SOK/GP03/PENGENDALIAN MAKLUMAT)
Garis Panduan Pengurusan Identiti
(UPM/ISMS/SOK/GP07/IDENTITI)
6
Lampiran 1
Garis Panduan Pengurusan Identiti Pengguna (ID) Sistem
Maklumat Pelajar
SEC : A.9.4.4
Current Control :
Prosedur Kawalan dan Pemantauan Capaian ke Sistem di
Pusat Data (UPM/ISMS/OPR/P003)
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/PEMANTAUAN CAPAIAN)
SEC : A.9.4.4
Current Control :
GPTMK 12.2 : Perisian Berbahaya
Prosedur Kawalan dan Pemantauan Capaian ke Sistem di
Pusat Data (UPM/ISMS/OPR/P003)
Garis Panduan Pemantauan Capaian Ke Sistem
(UPM/ISMS/OPR/GP06/PEMANTAUAN CAPAIAN)
SEC : A.10.1.1
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bahagian Kawalan
Keselamatan TMK 21(a)
Garis Panduan Pengendalian Maklumat
(UPM/ISMS/SOK/GP03/PENGENDALIAN MAKLUMAT)
SEC : A.10.1.1
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bahagian Kawalan
Keselamatan TMK 21(a)
GPKTMK 10.0 : Kawalan Kriptografi
Garis Panduan Pengendalian Maklumat
(UPM/ISMS/SOK/GP03/PENGENDALIAN MAKLUMAT) Perkara
5.2.1.1
SEC : A.10.1.2
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bahagian Kawalan
Keselamatan TMK 21(c)
Garis Panduan Pengendalian Maklumat
(UPM/ISMS/SOK/GP03/PENGENDALIAN MAKLUMAT)
SEC : A.10.1.2
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bahagian Kawalan
Keselamatan TMK 21(c)
GPKTMK 10.0 (c) : Pengurusan Public Key Infrastructure (PKI)
Garis Panduan Pengendalian Maklumat
(UPM/ISMS/SOK/GP03/PENGENDALIAN MAKLUMAT) Perkara
5.2.1.2
SEC : A.11.1.1
Current Control :
Arahan Keselamatan : Keselamatan Fizikal
Manual Sistem Pengurusan Keselamatan Maklumat (ISMS)
(UPM/ISMS/PGR/MP) Perkara 4.3.4 : Lokasi Skop Pensijilan
Current Control :
Arahan Keselamatan : Keselamatan Fizikal
Manual Sistem Pengurusan Keselamatan Maklumat (ISMS)
(UPM/ISMS/PGR/MP) Perkara 4.3.4 : Lokasi Skop Pensijilan
ISMS UPM
7
Lampiran 1
ISMS UPM
GPKTMK 11.1 : Keselamatan Fizikal dan Persekitaran
GPKTMK 11.1 (a) : Keselamatan Fizikal Kawasan
GPKTMK 11.1(c) – Kawasan Larangan
SEC : A.11.1.2
Justification :
Memastikan kawalan bersesuaian dilaksanakan bagi memastikan
hanya pengguna yang diberi hak akses sahaja dibenarkan masuk.
Current Control :
Arahan Keselamatan : Keselamatan Fizikal
Manual Sistem Pengurusan Keselamatan Maklumat (ISMS)
(UPM/ISMS/PGR/MP) Perkara 4.3.4 : Lokasi Skop Pensijilan
ISMS UPM
GPKTMK 11.0 (ms14) – Keselamatan Fizikal dan Persekitaran
SEC : A.11.1.2
Justification :
Memastikan kawalan bersesuaian dilaksanakan bagi memastikan
hanya pengguna yang diberi hak akses sahaja dibenarkan masuk ke
dalam kawasan terkawal.
Current Control :
Arahan Keselamatan : Keselamatan Fizikal
Manual Sistem Pengurusan Keselamatan Maklumat (ISMS)
(UPM/ISMS/PGR/MP) Perkara 4.3.4 : Lokasi Skop Pensijilan
ISMS UPM
GPKTMK 11.1(b) Kawalan Masuk Fizikal
Prosedur Pengoperasian Pengurusan Pusat Data
(UPM/ISMS/OPR/P001) Perkara 6.2 Kawalan Akses ke Pusat
Data
Garis Panduan Kawalan Akses ke Pusat Data
(UPM/ISMS/OPR/GP03/KAWALAN AKSES)
Prosedur Kawalan Akses (UPM/OPR/BKU/P001)
SEC : A.11.1.4
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 9 (b) dan Bhgn G, 20
(1)
GPKTMK Perkara 11.1 : Persekitaran Selamat
Akta Keselamatan dan Kesihatan Pekerjaan 1994 (AKTA 514)
SEC : A.11.1.4
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 9 (b) dan Bhgn G, 20
(1)
GPKTMK Perkara 11.1(e) : Kawalan Persekitaran
Akta Keselamatan dan Kesihatan Pekerjaan 1994 (AKTA 514)
SEC : A.11.1.5
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 9 (b) dan Bhgn G, 20
SEC : A.11.1.5
Current Control :
Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 9 (b) dan Bhgn G, 20
8
Lampiran 1
(1)
GPKTMK Perkara 11.1 : Persekitaran Selamat
Prosedur Kawalan Akses (UPM/OPR/BKU/P001)
(1)
GPKTMK Perkara 11.1 (g) : Kawasan Penghantaran dan
Pemunggahan
SEC : A.11.2.4
Current Control :
• Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 10
• GPKTMK Perkara 11.3 (e) : Penyelenggaraan Peralatan
• Prosedur Penyelenggaraan ICT (UPM/OPR/IDEC/P003)
• Prosedur Penyelenggaraan Baik Pulih (UPM/SOK/PYG/P001)
• Prosedur Penyelenggaraan Berkala (UPM/SOK/PYG/P002)
SEC : A.11.2.4
Current Control :
• Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 10
• GPKTMK Perkara 11.3 (e) : Penyelenggaraan Peralatan
• Prosedur Penyelenggaraan ICT (UPM/OPR/IDEC/P003)
• Prosedur Perkhidmatan ICT (UPM/OPR/IDEC/P002)
SEC : A.11.2.5
Owner : Peneraju ISMS
Justification : Memastikan peralatan, maklumat atau perisian di bawa keluar dari lokasi tanpa kebenaran Current Control :
• Prosedur Pengurusan Aset (UPM/SOK/KEW-AST/P012)
• Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 9 (a)
• GPKTMK Perkara 11.3 (a) : Peralatan ICT
• Prosedur Perkhidmatan ICT (UPM/OPR/IDEC/P002)
• Prosedur Penyelenggaraan Baik Pulih (UPM/SOK/PYG/P001)
SEC : A.11.2.5
Owner : Peneraju ISMS
Justification : Memastikan peralatan, maklumat atau perisian tidak di bawa keluar dari lokasi tanpa kebenaran Current Control :
• Prosedur Pengurusan Aset (UPM/SOK/KEW-AST/P012)
• Kaedah-kaedah Universiti Putra Malaysia (Teknologi
Maklumat dan komunikasi 2014) Bhgn D, 9 (a)
• GPKTMK Perkara 11.3 (f) : Peralatan ICT di Luar Premis
• Prosedur Perkhidmatan ICT (UPM/OPR/IDEC/P002)
T
SEC : A.11.2.6
Current Control :
• UPM/SOK/KEW-AST/P012 : Prosedur Pengurusan Aset
• GPKTMK Perkara 11.3 (f) : Peralatan Di Luar Premis
• Prosedur Perkhidmatan ICT (UPM/OPR/IDEC/P002)
• Prosedur Penyelenggaraan Baik Pulih (UPM/SOK/PYG/P001)
SEC : A.11.2.6
Current Control :
• UPM/SOK/KEW-AST/P012 : Prosedur Pengurusan Aset
• GPKTMK Perkara 11.3 (f) : Peralatan Di Luar Premis
• Prosedur Perkhidmatan ICT (UPM/OPR/IDEC/P002)
9
Lampiran 1
SEC : A.12.1.1
Current Control :
• Prosedur Kawalan Dokumen dan Rekod (UPM/PGR/P001)
SEC : A.12.1.1
Current Control :
• Prosedur Pengurusan Dokumen (UPM/PGR/P001) • (Sistem Pengurusan ISO UPM (e-ISO))
http://reg.upm.edu.my/eISO
SEC : A.12.1.2
Current Control :
• Mesyuarat Kajian Semula Pengurusan • Mesyuarat Jawatankuasa Kualiti • Mesyuarat Jawatankuasa Kerja ISMS
SEC : A.12.1.2
Current Control :
• Bidang kuasa Lembaga Pengarah Universiti • Bidang kuasa Senat Universiti • Bidang kuasa Jawatankuasa Tetap Kewangan • Bidang kuasa Jawatankuasa Pengurusan Universiti • Bidang kuasa Jawatankuasa Pengurusan Pusat
Tanggungjawab • Bidang kuasa Mesyuarat Kajian Semula Pengurusan • Bidang kuasa Mesyuarat Jawatankuasa Kualiti • Bidang kuasa Mesyuarat Jawatankuasa Kerja ISMS • Bidang kuasa Jawatankuasa Peneraju Proses/skop ISMS
SEC : A.12.1.3
Owner : Pusat Jaminan Kualiti
Current Control :
• Mesyuarat Kajian Semula Pengurusan Mesyuarat JK Kualiti • Mesyuarat JK Kerja ISMS
SEC : A.12.1.3
Owner : Peneraju ISMS
Current Control :
• GPKTMK 12.1 (d): Pengurusan Kapasiti
SEC : A.13.1.1
Current Control :
• GPKTMK 13.2 : Kawalan Akses Rangkaian • Garis Panduan Pengurusan Pengagihan Rangkaian
(UPM/ISMS/OPR/ /GP13/AGIHAN RANGKAIAN) • ID & Password Staf • Private network (SMP) - network conceptual diagram
SEC : A.13.1.1
Current Control :
• GPKTMK 13.2 : Kawalan Akses Rangkaian • Garis Panduan Pengurusan Pengagihan Rangkaian
(UPM/ISMS/OPR/ /GP13/AGIHAN RANGKAIAN) • Garis Panduan Pengurusan UPM-ID
(UPM/ISMS/OPR/GP16/UPM-ID)
SEC : A.13.1.2
Current Control :
• Dokumen kontrak antara UPM dan Internet Service Protocol
(ISP)
SEC : A.13.1.2
Current Control :
• KPI iDEC –(Perkhidmatan rangkaian _ketersediaan rangkaian
& jaminan jalur lebar)
• Kontrak sambungan WAN antara UPM dengan Network
10
Lampiran 1
Service Provider (NSP)
SEC : A.13.1.3
Current Control :
• Garis Panduan Pengurusan Pengagihan Rangkaian (UPM/ISMS/OPR /GP13/AGIHAN RANGKAIAN)
• VLAN USPOT users • VLAN Administration
SEC : A.13.1.3
Current Control :
• Garis Panduan Pengurusan Pengagihan Rangkaian (UPM/ISMS/OPR /GP13/AGIHAN RANGKAIAN)
SEC : A.13.2.2
Owner : Peneraju ISMS
Current Control :
• GPKTMK 13.3(a) : Pertukaran Maklumat • Prosedur Pertukaran Maklumat (UPM/ISMS/SOK/P002)
SEC : A.13.2.2
Owner : Peneraju ISMS, Pejabat Bursar
Current Control :
• GPKTMK 13.3(a) : Pertukaran Maklumat • Prosedur Pertukaran Maklumat (UPM/ISMS/SOK/P002)
Peraturan Kewangan
SEC : A.13.2.4
Current Control :
• Akta Arkib Negara
• Aku Janji Staf
• GPKTMK Perkara 15.1 : Pihak Ketiga
SEC : A.13.2.4
Current Control :
• Akta Rahsia Rasmi
• Akta Arkib Negara
• Aku Janji Staf
• GPKTMK Perkara 15.1 : Pihak Ketiga
• Non Discloser Aggreement (NDA)
SEC : A.18.1.3
Current Control :
• GPKTMK Perkara 8.3 (c) : Keselamatan Dokumen
• Prosedur Kawalan Dokumen dan Rekod (UPM/PGR/P001)
• Akta Arkib Negara 2003 (Akta 629)
SEC : A.18.1.3
Current Control :
• GPKTMK Perkara 8.3 (c) : Keselamatan Dokumen
• Prosedur Pengurusan Dokumen ISO (UPM/PGR/P001)
• Akta Arkib Negara 2003 (Akta 629)
11
Lampiran 1
SEC : A.18.1.4
Current Control :
• GPKTMK Perkara 13.3 : Pengurusan Pertukaran Maklumat • Prosedur Pertukaran Maklumat (UPM/ISMS/SOK/P002) • Prosedur Kawalan Dokumen dan Rekod (UPM/PGR/P001)
SEC : A.18.1.4
Current Control :
• GPKTMK Perkara 13.3 : Pengurusan Pertukaran Maklumat • Prosedur Pertukaran Maklumat (UPM/ISMS/SOK/P002) • Prosedur Pengurusan Dokumen ISO (UPM/PGR/P001)
SEC : A.18.2.1
Owner : Pusat Jaminan Kualiti
SEC : A.18.2.1
Owner : Pusat Jaminan Kualiti & Pejabat Penasihat Undang-undang
SEC : A.18.2.2
Owner : Pusat Jaminan Kualiti
Current Control :
• Prosedur Kawalan Dokumen dan Rekod (UPM/PGR/P001) • Jawatankuasa Kajian Semula Pengurusan (MKSP) • Jawatankuasa Kualiti
SEC : A.18.2.2
Owner : Pusat Jaminan Kualiti & Pejabat Penasihat Undang-undang
Current Control :
• Prosedur Pengurusan Dokumen (UPM/PGR/P001) • Jawatankuasa Kajian Semula Pengurusan (MKSP) • Jawatankuasa Kualiti • Manual Sistem Pengurusan Keselamatan Maklumat
(UPM/ISMS/PGR/MP)
LAMPIRAN E
MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
KALI KEENAM
1. TUJUAN Kertas ini adalah bertujuan untuk mendapat pertimbangan dan kelulusan Mesyuarat
Jawatankuasa Kerja ISMS berkaitan Laporan Hasil Penilaian Risiko dan Pelan Pemulihan
Risiko Sistem Pengurusan Keselamatan Maklumat (ISMS) UPM bagi semakan September
2017.
2. LATARBELAKANG
Penilaian risiko dilaksanakan dengan tujuan untuk menilai tahap risiko aset yang terlibat
dalam proses melibatkan skop ISMS supaya pendekatan dan keputusan yang paling
berkesan dikenalpasti bagi menyediakan perlindungan dan kawalan ke atas risiko aset
berkenaan, berasaskan metadologi Penilaian Risiko Terperinci MyRAM (Malaysian Public
Sector ICT Risk Assessment Methodology). Pengemaskinian MyRAM dilaksanakan apabila
berlaku perubahan atau penambahan aset di dalam skop ISMS yang terlibat. Aset dinilai
samada rendah (low), sederhana (medium) atau tinggi (high) berdasarkan ciri utama
keselamatan iaitu kerahsiaan (confidentiality), integriti (integrity) dan ketersediaan
(availability). Risiko yang telah dikenalpasti akan dilaksanakan tindakan kawalan dan
pemulihan risiko sepertimana berikut:
Cadangan Keterangan
MENGURANGKAN Keputusan ini ditentukan sekiranya implikasi terhadap
risiko adalah kritikal samada HIGH atau MEDIUM.
Pengurangan risiko dapat dilaksanakan melalui
penambahbaikan dari segi operasi, prosedur, fizikal,
individu atau teknikal.
MEMINDAHKAN Keputusan ini ditentukan sekiranya implikasi terhadap
risiko tersebut boleh dipindahkan dengan mewujudkan
perjanjian (SLA) antara kedua pihak.
LAPORAN PENILAIAN RISIKO DAN PELAN PEMULIHAN RISIKO SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) MS ISO/IEC 27001:2013
TAHUN 2017 (SEMAKAN SEPTEMBER 2017)
MENERIMA Keputusan ini ditentukan jika implikasi terhadap risiko
adalah LOW.
MENGELAKKAN Keputusan ini ditentukan kerana tiada kawalan yang
dapat ditentukan samada untuk mengurangkan atau
memindahkan risiko kepada pihak ketiga.
3. LAPORAN
Perincian Laporan Hasil Penilaian Risiko dan Pelan Pemulihan Risiko Sistem Pengurusan
Keselamatan Maklumat yang dijalankan pada September 2017 adalah seperti pada
Lampiran 1.
4. SYOR
Ahli mesyuarat diminta mengambil tindakan sepertimana berikut:
i) mengambil maklum hasil penilaian risiko dan pelan pemulihan risiko Sistem
Pengurusan Keselamatan Maklumat (ISMS) semakan September 2017;
ii) mengambil perhatian berhubung bilangan tahap risiko dan punca dominan yang
dikenalpasti serta tindakan kawalan dan pelan pemulihan risiko yang digunakan oleh
peneraju dalam menyediakan perlindungan ke atas risiko berkenaan.
Lampiran 1
LAPORAN PENILAIAN RISIKO DAN PELAN PEMULIHAN RISIKO SEMAKAN SEPTEMBER 2017
Bil Nama Proses Bil
Aset
Bil
Ancaman
Bil. Tahap Risiko Punca Dominan
Kawalan Sediaada
Pelan Pemulihan
Risiko L M H
1. Kad Pelajar Baharu Siswazah 12 21 21 0 0 Bilik kad pintar tiada
penyelenggaraan kebakaran
Penyelenggaran berkala
Alat Pemadam Api
Penyelenggaran berkala
Alat Pemadam Api dan latihan kebakaran.
2. Pengesahan Laporan
Pemeriksaan Kesihatan Pelajar Baharu Prasiswazah
91 139 139 0 0 Pengendalian Borang Akuan
Kesihatan dan Borang Akuan Bebas Dadah
Meletakkan Borang tersebut
didalam kotak
-
3. Pembayaran Yuran Pelajar
Baharu Prasiswazah
17 24 7 17 0 Power Failure Penggunaan notebook diutamakan kerana terdapat power supply dari
bateri
Penggunaan UPS
4. Pengesahan Pendaftaran
Pelajar Baharu Prasiswazah di Kolej Kediaman
394 428 428 0 0 Kecuaian didalam
pengendalian maklumat
Membuat latihan dan
program kesedaran ISMS
-
5. Proses Muatnaik data tawaran
pelajar UPU
4 4 1 3 0 Kebarangkalian data
digodam dan data dimanipulasi
Panduan Layout Data UPU. 1. Mewujudkan satu
folder yang mengandungi kata
laluan bagi menyimpan
dan menyerahkan data Jaya UPU kepada pihak
iDEC untuk proses muat naik ke dalam Sistem
Maklumat Pelajar. 2. Menggunakan kaedah
Virtual Private Network
(VPN) atau menggunakan bilik
console untuk proses muatnaik data tawaran
UPU.
6. Proses Pendaftaran Pelajar Baharu Prasiswazah UPMKB
52 118 87 31 0 Petugas tidak mencukupi, tidak mahir, kecuaian.
Lantikan petugas baharu, latihan dan pemantauan
-
Bil Nama Proses Bil
Aset Bil
Ancaman
Bil. Tahap Risiko Punca Dominan
Kawalan Sediaada
Pelan Pemulihan Risiko L M H
7. Sistem sokongan
(keselamatan)
13 13 10 3 0 Penentu operasi keselamatan
rangkaian
Prosedur Penyelenggaraan
ICT Meningkatkan
penyelenggaraan dan pemantauan berkala
8. Sistem sokongan (rangkaian) 17 17 11 6 0 1. Tulang belakang operasi rangkaian UPM
2. Rekabentuk yang tidak redundant sepenuhnya
Prosedur Penyelenggaraan ICT
Meningkatkan penyelenggaraan dan
pemantauan berkala
9. Sistem sokongan (Pusat Data) 165 237 84 153 0 1. Aset merupakan penentu
operasi DC 2. Aset telah digunakan lebih
5 tahun 3. Penyimpan data utama
1. Prosedur
Penyelenggaraan ICT 2. Penggunaan peralatan
sokongan (UPS, Genset)
1. Meningkatkan
penyelenggaraan dan pemantauan berkala
2. Latihan dan kursus berkaitan
10. Sistem sokongan (Pangkalan
Data)
21 56 7 49 0 penggunaan versi DB yang
terkebelakang 4 versi (End of Support)
Prosedur Penyelenggaraan
ICT
Laksanakan simulasi
DRP ICT
11. Sistem Aplikasi Maklumat
Pelajar Prasiswazah
48 168 84 84 0 Aset telah digunakan lebih 5
tahun
Prosedur Penyelenggaraan
ICT
1. Meningkatkan
penyelenggaraan dan pemantauan berkala
2. Laksanakan simulasi DRP ICT
12. Sistem Aplikasi Kewangan 19 57 25 32 0 Aset utama kewangan Prosedur Penyelenggaraan
ICT
1. Meningkatkan
penyelenggaraan dan pemantauan berkala
2. Laksanakan simulasi DRP ICT
13. Proses Penilaian Pengajaran* 48 127 127 0 0 Kerosakan perkakasan
(server)
Generator Set, Uninteruptable power supply
-
14. Pengurusan Harta Intelek* 37 63 19 21 23 Staf kontrak yang bertanggungjawab
menguruskan sistem UPMIP
Menggunakan peruntukan selain dari peruntukan
mengurus
Memohon jawatan tetap untuk 2 pegawai di
Bahagian Putra IP
938 1472 1050 399 23
*Nota: Proses yang akan terlibat bagi perluasan skop baharu tahun 2018
LAMPIRAN F
PELAPORAN MESYUARAT JAWATANKUASA KERJA SISTEM PENGURUSAN KESELAMATAN MAKLUMAT MS ISO/IEC
27001:2013 SETIAP PENERAJU
1) STRUKTUR ORGANISASI PENERAJU ISMS
Tiada perubahan terhadap struktur organisasi semua Peneraju ISMS (terkini adalah sepertimana lantikan oleh pihak Pusat
Jaminan Kualiti).
2) STATUS PELAKSANAAN AKTIVITI ISMS ANJURAN OLEH SETIAP PENERAJU
2.1 Peneraju Pendaftaran Pelajar Baharu Prasiswazah Kampus Serdang
Bil Aktiviti/Program (Mesyuarat/Bengkel/Taklimat/dll)
Tarikh Penglibatan pegawai (siapa yang terlibat)
1. Kursus Persediaan Fasilitator Universiti Sempena Kemasukan Pelajar Baharu Sesi 2017/2018 – Taklimat ISMS
5 September 2017
Peneraju ISMS BHEP dan Fasilitator
2.2 Peneraju Pusat Data
Bil Aktiviti/Program (Mesyuarat/Bengkel/Taklimat/dll)
Tarikh Penglibatan pegawai (siapa yang terlibat)
1. Bengkel Penilaian Risiko ISMS 19 apr.2017 Pasukan Penilaian Risiko Pusat Data
2. Perbincangan ISMS Peneraju Proses Pusat Data 26 apr.2017 Pasukan Pusat Data
3. Perjumpaan Pasukan Pusat Data 17 mei 2017 Pasukan Pusat Data
4. Taklimat Persediaan Semakan Kendiri ISMS 19 mei 2017 Pasukan Pusat Data
5. Semakan Kendiri ISMS 22-23 mei 2017 Pasukan Pusat Data
6. Perjumpaan Pasukan Pusat Data Bersama TWP ISMS
25 mei 2017 Pasukan Pusat Data
7. Perjumpaan Pasukan Pusat Data 21 sept.2017 Pasukan Pusat Data
8. Gotong-royong Pusat Data 29 sept.2017 Pasukan Pusat Data
2.3 Peneraju Pendaftaran Pelajar Baharu Prasiswazah Kampus Bintulu
Bil Aktiviti/Program (Mesyuarat/Bengkel/Taklimat/dll)
Tarikh Penglibatan pegawai (siapa yang terlibat)
1. Bengkel Sistem Pengurusan Keselamatan Maklumat (ISMS), UPMKB
08 Mac 2017 1. Dr. Aryaty Binti Alwie 2. En. Muhammad Abdul Rahim Bin Habib 3. Pn. Hairunisah Binti Abdul Rahman 4. En. Noor Hakim Bin Ahmad 5. Pn. Carolyne Eryna Ayesha Binti Nadin 6. Pn. Zuraida Abu Bakar 7. Cik Norbayah Binti Ahmad 8. Pn. Sharinah Binti Muztaba 9. En. Sharman Bin Yeop Ismail 10. En. Abdul Mohammad Bin Omar 11. En. Zulkernain Bin Zanawi 12. En. Zaidi Bin Talib 13. En. Sebastian Collin Anal Suni @ Dram 14. Pn. Hadiah Binti Sandi 15. En. Nen Bin Mohidi
16. Pn. Hamidah Abdullah 17. En. Roslan Bin Ismail 18. En. Fadzlizan Bin Yaakop 19. Pn. Dawiyah Binti Abri 20. Pn. Resam Tasek 21. Pn. Amy Anak Tirai 22. Pn. Puspasari Binti Wahap
2. Taklimat Pengurusan Risiko, Pengurusan Korporat dan Pengurusan Majlis Universiti Putra Malaysia
12 April 2017 1. Semua Pengurusan Fakulti (12 orang) 2. Semua Pegawai Akademik (41 orang) 3. Semua Pegawai P & P (Bukan
Akademik) - 28 orang 4. Semua Penolong-Penolong Pegawai
(49 orang) 5. 2 orang wakil Pelaksana daripada
setiap Jabatan/Bahagian
3. Latihan Pengurusan Audit ISO (QMS/EMS/ISMS) di UPMKB
11 Mei 2017 1. En. Sudirman Bin Asmadi 2. Pn. Zuraida Abu Bakar 3. En. Nalong Anak Buda 4. Pn. Daisy Pawie 5. En. Sharman Bin Yeop Ismail 6. Semua Juruaudit UPMKB
4. Bengkel Tindakan Penilaian Risiko MyRAM 15 Jun 2017 1. Pn. Hairunisah Binti Abdul Rahman 2. En. Zulkernain Bin Zamawi 3. En. Sudirman Bin Asmadi
2.4 Peneraju Penilaian Pengajaran
Bil Aktiviti/Program Mesyuarat/Bengkel/Taklimat/dll)
Tarikh Penglibatan pegawai
1. Bengkel Penilaian Risiko (Risk Assessment) Sistem MyRAM Bagi Proses Penilaian Pengajaran
15 Mei 2017 1. Pn. Hashimah Amat Sejani 2. Pn. Nurul Fatihah Md. Marham 3. Pn. Yasminani Mohamad 4. Pn. Nor Azirawani Man 5. En. Ahmad Nizam Abdullah 6. En. Mohd. Idham Abd. Rashid 7. En. Azry Mohd. Adeny
2. Perbincangan Penambahbaikan Prosedur Pelaksanaan Kajian Pengajaran dan Pembelajaran (UPM/OPR/CADE/P002); dan Arahan kerja pelaksanaan penilaian pengajaran (UPM/OPR/CADE/AK01) Berkuatkuasa 20 Jun 2017
19 Mei 2017 1. Pn. Yasminani Mohamad 2. Pn. Nor Azirawani Man
2.5 Peneraju Pengurusan Harta Intelek
Bil Aktiviti/Program Mesyuarat/Bengkel/Taklimat/dll)
Tarikh Penglibatan pegawai
1. Bengkel diadakan untuk melantik jawatankuasa baharu, menentukan skop dan objektif. Pembentangan ringkas mengenai ISMS bagi memberi gambaran jelas kepada ahli jawatankuasa. Jawatankuasa bersetuju untuk mendapatkan kelulusan ke Mesyuarat pengurusan PSP dan TNCPI
14 Julai 2017 11 orang pegawai
3) STATUS PENUTUPAN AUDIT DALAMAN & PENEMUAN AUDIT SIRIM ISMS
(A) PENEMUAN AUDIT DALAMAN 2017
3.1 Peneraju Pendaftaran Pelajar Baharu Prasiswazah Kampus Serdang
Bil Kategori
Penemuan Keterangan Penemuan
Ditutup/ Belum
Ditutup
Tarikh Penutupan (jika telah ditutup)
Catatan
3.2 Peneraju Pusat Data
Bil Kategori
Penemuan Keterangan Penemuan
Ditutup/ Belum
Ditutup
Tarikh Penutupan (jika telah ditutup)
Catatan
1. NCR Didapati penyelenggaraan aset oleh pihak luar tidak dilaksanakan mengikut spesifikasi yang dinyatakan dalam kontrak.
Tutup 18 Ogos 2017
Penyelenggaraan telah
dilaksanakan pada 20 jun
2017
2. NCR Didapati pemantauan berkala Operasi Pusat Data tidak dilaksanakan setiap hari sebagaimana keperluan yang dinyatakan dalam Borang Senarai Semak Pemantauan Berkala.
Belum Tutup 13 Okt 2017 Kuatkuasa borang senarai
semak pemantauan
berkala
3. NCR Didapati maklumat di dalam Sistem MyRAM tidak dikemaskini walaupun berlaku perubahan struktur organisasi Pusat Tanggungjawab.
Tutup 18 Ogos 2017
4. OFI Dicadangkan supaya pintu akses dari Pejabat INSPEM dibaiki bagi mengekalkan keselamatan lokasi di Pejabat iDEC Beta.
Tutup 21 Jun 2017 Proses baik pulih telah
dilaksanakan pada 21 Jun
2017
5. OFI Dicadangkan supaya keputusan tapisan keselamatan sumber manusia di Pusat Data, IDEC yang dinyatakan sebagai kawalan (safe guard) dalam penilaian risiko aset disediakan sebagai bukti pelaksanaan.
6. OFI Dicadangkan semakan dibuat ke atas "Statement of Applicability" pada Section A.11.2.5 dalam ruangan "Justification" iaitu perkataan ''dibawa keluar'' dipinda kepada " tidak dibawa keluar".
Belum Tutup 13 Okt 2017 Kuatkuasa Statement of Applicability
(SoA)
3.3 Peneraju Pendaftaran Pelajar Baharu Prasiswazah Kampus Bintulu
Bil Kategori
Penemuan Keterangan Penemuan
Ditutup/ Belum
Ditutup
Tarikh Penutupan (jika telah ditutup)
Catatan
1. NCR Didapati pengguna mendedahkan ID dan katalaluan secara terbuka tanpa kawalan.
Tutup 31 Julai 2017
2. NCR Didapati kaunter pemberian kad matrik tidak dikawal selia oleh staf yang bertanggungjawab.
Tutup 23 Ogos 2017
3. NCR Didapati tiada pembahagian tugas yang jelas diberikan kepada PYB atau entitI yang bertanggungjawab dalam pelaksanaan Proses Pendaftran Pelajar Baharu UPMKB.
Tutup 23 Ogos 2017
4. NCR Didapati maklumat penilaian risiko UPMKB tidak lengkap. Tutup 15 Jun 2017
5. OFI Dicadangkan kata laluan temporary/default/initial dipaksa tukar pada login kali pertama pada sistem maklumat pelajar (SMP).
Tutup 31 Julai 2017
3.4 Peneraju Penilaian Pengajaran - Tiada Berkaitan
3.5 Peneraju Pengurusan Harta Intelek - Tiada Berkaitan
(B) PENEMUAN AUDIT SIRIM 2016
3.1 Peneraju Pendaftaran Pelajar Baharu Prasiswazah Kampus Serdang
Bil Kategori
Penemuan Keterangan Penemuan
Ditutup/ Belum
Ditutup
Tarikh Penutupan (jika telah ditutup)
Catatan
3.2 Peneraju Pusat Data
Bil Kategori
Penemuan Keterangan Penemuan
Ditutup/ Belum
Ditutup
Tarikh Penutupan (jika telah ditutup)
Catatan
1. OFI Audit mendapati salah satu tahap risiko yang dikenal pasti semasa membuat penilaian risiko melalui aplikasi MyRAM adalah tidak selaras seperti mana yang dilaporkan di dalam MKSP
Tutup 30 Ogos 2017
Verifikasi laporan di dalam
Mesyuarat JK Kerja ISMS dan
MKSP 2017
2. OFI Penilaian risiko telah dilaksanakan oleh organisasi. Walau bagaimanapun penilaian ini boleh disemak semula bagi memastikan kesemua aset yang terlibat termasuk komputer pengguna dinilai risikonya. Sampel yang dilhat di Pejabat Bursar dan Bahagian Keselamatan.
Tutup 25 Nov 2017
Jemputan perbincangan
tindakan kemaskini
laporan MyRAM kepada semua
peneraju proses
3.3 Peneraju Pendaftaran Pelajar Baharu Prasiswazah Kampus Bintulu - Tiada Berkaitan
3.4 Peneraju Penilaian Pengajaran Online - Tiada Berkaitan
3.5 Peneraju Pengurusan Harta Intelek - Tiada Berkaitan
1
2017
PUSAT JAMINAN KUALITI (CQA)
UNIVERSITI PUTRA MALAYSIA
MAKLUMAT AUDIT
2 dan 3 Oktober 2017
2
AUDIT PEMANTAUAN SEMAKAN 2 SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
(ISMS) ISO/IEC 27001:2013
UNIVERSITI PUTRA MALAYSIA
2 dan 3 Oktober 2017
Perkara Halaman
1.0 LATAR BELAKANG 3
2.0 MAKLUMAT JURUAUDIT SIRIM 3
3.0 SENARAI PUSAT TANGGUNGJAWAB (PTJ) TERLIBAT
3
4.0 RINGKASAN PERGERAKAN JURUAUDIT SIRIM
4
5.0 PERINCIAN JADUAL (PLAN) AUDIT 5
6.0 KEPERLUAN DAN KESEDIAAN PUSAT TANGGUNGJAWAB (PTJ)
8
7.0 PERANAN DAN TANGGUNGJAWAB PENGIRING JURUAUDIT
9
8.0 TANGGUNGJAWAB AUDITI 10
3
1.0 LATAR BELAKANG
Audit Pemantauan Semakan 2 Sistem Pengurusan Keselamatan Maklumat (ISMS)
ISO/IEC 27001:2013 dijadualkan pada 6 September 2017 (Hari Pertama) dan 2 hingga
3 Oktober 2017 (Hari Kedua dan Ketiga). Audit telah berjaya dilaksanakan pada 6
September 2017 lepas yang memfokus kepada proses pendaftaran pelajar baharu
prasiswazah pada Minggu Perkasa Putra Semester Pertama Sesi 2017/2018 di UPM
Kampus Bintulu.
Audit di kampus Bintulu pada tahun ini merupakan peluasan skop ISMS yang melibatkan
proses pendaftaran pelajar baharu di Kolej Sri Rajang.
Seterusnya audit akan bersambung pada 2 hingga 3 Oktober 2017 (Hari Kedua dan
Ketiga) dan perincian pelaksanaan audit adalah sebagaimana maklumat yang
disenaraikan dalam rujukan ini.
2.0 MAKLUMAT JURUAUDIT SIRIM
BIL. JURUAUDIT TARIKH MENGAUDIT
1. Puan Sazlin Alias (Ketua Juruaudit)
6 September, 2 dan 3 Oktober 2017 (3 hari)
2. Puan Efizan Zamri 2 dan 3 Oktober 2017 (2 hari)
3. Puan Hidayatini Sarmin 2 Oktober 2017 (1 hari)
3.0 SENARAI PUSAT TANGGUNGJAWAB (PTJ) TERLIBAT
1. Pusat Jaminan Kualiti (CQA)
2. Pusat Pembangunan maklumat dan Komunikasi
3. Bahagian Kemasukan dan Bahagian Urus Tadbir Akademik
4. Bahagian Hal Ehwal Pelajar
5. Perpustakaan Sultan Abdul Samad
6. Pejabat Pendaftar
7. Pejabat Strategi Korporat dan Komunikasi
8. Pejabat Penasihat Undang-Undang
4
4.0 RINGKASAN PERGERAKAN JURUAUDIT SIRIM
JURUAUDIT
TARIKH AUDIT DAN PUSAT TANGGUNGJAWAB DIAUDIT
2/10/2017 (Hari Ke-2) 3/10/2017 (Hari Ke-3)
1. Sazlin Alias
1. Pusat Jaminan Kualiti (CQA)
2. Pusat Pembangunan Maklumat dan Komunikasi (iDEC) – Pasukan Penilaian Risiko
1. Perpustakaan Sultan Abdul Samad
2. Pejabat Pendaftar
2. Efizan Zamri
Pusat Pembangunan Maklumat dan Komunikasi (iDEC)
1. Pejabat Strategi Korporat dan Komunikasi
2. Pejabat Pensihat Undang-Undang
3. Hidayatini Sarmin
1. Bahagian Kemasukan dan Bahagian Urus Tadbir Akademik
2. Bahagian Hal Ehwal Pelajar
5
5.0 PERINCIAN JADUAL (PLAN) AUDIT
2 Oct. 2017 @ UPM Serdang
Time Activity to be audited Responsibility Lokasi
0930–
1000
Opening Meeting. Briefing on the Information Security Management System by
organization’s representative on any changes to the system
since last audit Briefing on audit details by SIRIM QAS International’s
representative
SIRIM’s auditors and client’s
representatives
Dewan Senat, Tingkat
1, Bangunan Canselori
Putra
1000–1700
Follow-up previous audit findings
Documented information inclusive of creating and updating and control of documented information. Covering A.5 and A.6
Context of the organization inclusive of understanding the organization and its context, understanding the needs and
expectations of interested parties, determining the scope of the ISMS.
Leadership inclusive of leadership and commitment, policy and organizational roles, responsibilities and authorities.
Planning inclusive of actions to address security risk assessment,
information security risk treatment and information security objectives and plans to achieve them.
Performance evaluation inclusive of monitoring, measurement,
analysis and evaluation, internal audit and management review.
Improvement inclusive of nonconformity and corrective action and
continual improvement.
Sazlin
Pusat Jaminan Kualiti (CQA)
CQA & TWP ISMS
CQA & TWP ISMS
Pusat Pembangunan
Maklumat dan Komunikasi (iDEC) –
Pasukan Penilaian Risiko
CQA & TWP ISMS
CQA & TWP ISMS
Bilik Lembaga, Tingkat 1, Bangunan Canselori
Putra
6
2 Oct. 2017 @ UPM Serdang
Time Activity to be audited Responsibility Lokasi
Operation (Inclusive of operational planning and control,
information security risk assessment and information security risk
treatment.). Verification on the effectiveness of control as per
Statement of Applicability at Pusat Pembangunan Maklumat dan
Komunikasi IDEC
- Data centre operation
- Site visit DR site - A.16 Information security incident management
Efizan
Pusat Pembangunan
Maklumat dan
Komunikasi
Operation (Inclusive of operational planning and control,
information security risk assessment and information security risk
treatment.). Verification on the effectiveness of control as per
Statement of Applicability at Bahagian Kemasukan & Bahagian
Urus Tadbir Akademik
Operation (Inclusive of operational planning and control,
information security risk assessment and information security risk
treatment.). Verification on the effectiveness of control as per
Statement of Applicability at Bahagian Hal Ehwal Pelajar
Hidayatini
Bahagian Kemasukan
& Bahagian Urus
Tadbir Akademik
Bahagian Hal Ehwal Pelajar
1700 Review of Day 2 Findings SIRIM’s auditors and client’s representatives
Bilik Lembaga
7
3 Oct. 2017 @ UPM Serdang
Time Activity to be audited Responsibility Lokasi
0930-
1200
Operation (Inclusive of operational planning and control, information
security risk assessment and information security risk treatment.).
Verification on the effectiveness of control as per Statement of Applicability at Perpustakaan
Support inclusive of resources, competence, awareness and
communication.
A.7 Human resource security
Sazlin
Perpustakaan Sultan
Abdul Samad
Pejabat Pendaftar
Operation (Inclusive of operational planning and control, information
security risk assessment and information security risk treatment.). Verification on the effectiveness of control as per Statement of
Applicability at Pejabat Strategi Korporat & Komunikasi
A.17 information security business continuity management
Operation (Inclusive of operational planning and control, information
security risk assessment and information security risk treatment.). Verification on the effectiveness of control as per Statement of
Applicability at Pejabat Penasihat Undang –undang
A.18 compliance
-
Efizan
Pejabat Strategi Korporat dan
Komunikasi
Pejabat Penasihat Undang –undang
1400-
1530 Continue audit on unfinished areas Auditors
1530–1630
Preparation of Report SIRIM’s auditors Bilik Lembaga
1630 Closing Meeting.
Presentation of Findings and Recommendation
SIRIM’s auditor & client’s
management
Dewan Senat, Tingkat 1, Bangunan Canselori
Putra
8
6.0 KEPERLUAN DAN KESEDIAAN PUSAT TANGGUNGJAWAB (PTJ)
6.1 Keperluan PTJ
1. Kenderaan
- Untuk menjemput dan menghantar Juruaudit.
2. Pengiring
- Keutamaan pengiring adalah dikalangan Timbalan Wakil
Pengurusan/Timbalan Penyelaras Audit/Timbalan Pegawai
Kawalan Dokumen/Juruaudit Dalaman atau pegawai yang
terlibat secara langsung dalam skop audit.
3. Tempat (Bilik mesyuarat/ruang perbincangan)
- Untuk semakan rekod, temubual dan perbincangan.
4. Keperluan Komputer
- Untuk paparan/rujukan Sistem Pengurusan ISO (e-ISO).
6.2 Kesediaan PTJ
1. Pastikan PTJ telah bersedia untuk diaudit dengan kesediaan
dokumen, ruang yang kondusif dan kesediaan auditi.
2. Pastikan auditi yang betul dan hadir semasa diperlukan.
3. Pastikan ruang setiap PTJ bersedia pada tempoh yang ditetapkan
(tidak berselerak, tidak berkunci, tidak kotor dan sebagainya
9
7.0 PERANAN DAN TANGGUNGJAWAB PENGIRING JURUAUDIT
1. Bertanggungjawab mewakili Pusat Tanggungjawab (PTJ) membantu Juruaudit SIRIM;
2. Mengambil catatan penting terutama maklum balas Juruaudit secara teguran lisan
untuk tindakan segera PTJ;
2. Melaksanakan tugas Pegawai Pengiring sepanjang tempoh audit iaitu menyambut
kedatangan dan menghantar Juruaudit ke lokasi yang ditetapkan, iaitu:
(a) Menyambut kedatangan Juruaudit di lokasi berikut:
Tarikh dan masa
Lokasi PTJ yang terlibat
2/10/2017 (10.00 pagi)
Di Dewan Senat, Tingkat 1, Bangunan Canselori Putra (Selepas Mesyuarat Pembukaan Audit)
PTJ pertama diaudit pada sesi pagi
2/10/2017 (2.00 petang)
Di Bilik Lembaga, Tingkat 1, Bangunan Canselori Putra
PTJ pertama diaudit pada sesi petang
3/10/2017 (8.30 pagi)
Di Foyer Bangunan Canselori Putra dan bawa Juruaudit ke Bilik Lembaga Tingkat 1 untuk sarapan pagi
PTJ pertama diaudit pada sesi pagi
(b) Menghantar Juruaudit ke lokasi seterusnya:
Tarikh dan masa
Lokasi PTJ yang terlibat
2/10/2017 (1.00 petang)
Ke Bilik Lembaga Tingkat 1, Bangunan Canselori Putra untuk makan tengahari
PTJ diaudit pada sesi pagi
2/10/2017 (5.00 petang)
Ke Foyer Bangunan Canselori Putra
PTJ diaudit pada sesi petang
3/10/2017 (1.00 petang)
Ke Bilik Lembaga Tingkat 1, Bangunan Canselori Putra untuk makan tengahari
PTJ diaudit pada sesi pagi
10
8.0 TANGGUNGJAWAB AUDITI
DOs
1. Dengar dengan baik soalan-soalan yang ditanya oleh auditor.
2. Jika tidak faham pada soalan, minta auditor ulangi soalan.
3. Beri jawapan sahaja kepada soalan yang ditanya.
4. Jawab soalan yang berkaitan dengan tugas anda sahaja dan
TUNJUKKAN REKOD APABILA DIMINTA.
5. Jika anda ragu-ragu dengan dokumen yang diminta, sila hubungi
Peneraju Proses kerana kemungkinan rekod berkenaan disimpan pada
Peneraju Proses dan JANGAN JAWAB TIADA.
DONTs
1. Jangan lari apabila melihat auditor…jangan panik.
2. Jangan beri jawapan “saya tidak tahu”.
3. Jangan menjawab soalan yang berkaitan dengan Bahagian/ Seksyen
yang lain daripada Bahagian/Seksyen anda.
4. Jangan mengelirukan auditor.
5. Jangan berbohong kepada auditor.
6. Jangan mengatakan auditor tidak betul.
7. Jangan bertengkar dengan auditor, minta penjelasan daripada auditor.
8. Jangan membuang masa auditor.
9. Jangan panas baran pada auditor.
10. Jangan membuat tawaran untuk menunjukkan rekod.
11. Jangan memberitahu masalah dalaman Pusat Tanggungjawab
---------------------- Disediakan oleh: Penyelaras Audit (PAD) Universiti Putra Malaysia 25 September 2017